臉書再遭數據泄露 2.6億用戶受影響

社交應用的用戶可以說是每天都心驚膽顫，因為大概不知道甚么時候他們的個人資料就會被人泄密了。就在最近的一次臉書Facebook隱私泄露中，大概有2.67億用戶的數據遭到泄露。考慮到此前臉書也有過不少用戶數據遭到泄露的先例，因此到現在為止可以幾乎說每個臉書用戶或多或少都遭遇過這樣的事情。

網絡科技公司Comparitech及網絡安全研究員Bob Diachenko發現，網絡上有一個泄露了幾個星期的Facebook 用戶數據存儲庫。雖然在之后這個數據庫消失了，但是在黑客論壇上卻出現了相關的下載連接。

這些數據原本是在Elasticsearch，一個全文搜索引擎中可以找得。研究人員表示，Facebook數據庫于12月4日左右第一次出現在Elasticsearch中。在12月12日，這些數據在黑客論壇上以下載連接的形式出現。兩天后，Bob Diachenko發現了這個數據庫，并且向和這個AP地址相關的ISP發送了濫用報告。到了12月19日，這個泄露數據庫就從Elasticsearch中消失了。

圖片來源：Extreme Tech

可以肯定的說，在數據庫下載連接被刪除之前，已經有不法分子把數據庫給下載了。這總數為267,140,436條的用戶記錄雖然不包括用戶密碼或者其他敏感的信息，但包含了臉書 ID、電話號碼、全名和時間戳。因此，不法分子可以找到相關用戶的臉書個人資料來收集更多用戶信息并進行網絡釣魚攻擊。Comparitech指出，這個數據庫的數據將會是短信詐騙的理想來源。

目前并沒有人知道這個數據庫是如何出現在網絡上的。有可能是一小撮人通過安全漏洞獲得了訪問臉書的系統權限，也可能是有人利用了臉書的開發人員API。在Cambridge Analytica的丑聞曝光后(該公司利用開發人員API來向用戶定向發送選舉相關信息)，臉書在2018年限制了對這個API的訪問權限。而在此前，臉書寬松的政策使開發人員可以輕松地從社交網絡中獲得他們想要的數據。雖然技術上講共享數據違反臉書的政策，但臉書也無法阻止這樣的情況。

令人不安的是，這次的用戶數據泄露在臉書的眾多丑聞中只是冰山一角。而臉書官方表示目前正在調查這次泄露，初步相信數據庫是在開發人員API的使用還沒被限制前就已經泄露了。而臉書也已經撥出了30億美元專門準備用來繳交未來可能出現的隱私保護措施罰款。

這讓筆者想起一個很舊的段子："在注冊Google時我名字填Yahoo，在注冊Yahoo時我名字填Google，這樣子有人打電話問我是不是Yahoo先生時，我就知道是Google泄露了我的信息"